Mengumpulkan log Sophos UTM

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Sophos UTM dengan menggunakan penerus Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan SOPHOS_UTM.

Mengonfigurasi titik Sophos UTM

  1. Login ke konsol Sophos UTM menggunakan kredensial administrator.
  2. Pilih Logging & reporting > Log settings. Tab Logging lokal diaktifkan secara default.
  3. Klik tab Remote syslog server.
  4. Klik tombol aktif/nonaktif untuk mengaktifkan tab Server syslog jarak jauh.

  5. Di bagian Setelan syslog jarak jauh, di kolom Server syslog, tambahkan atau ubah setelan server syslog:

    • Untuk menambahkan setelan Server syslog, klik + Tambahkan server syslog.

      Pada dialog Tambahkan server syslog, lakukan hal berikut:

      1. Di kolom Name, masukkan nama server syslog.
      2. Di kolom Server, masukkan detail server syslog.
      3. Di kolom Port, masukkan detail port server syslog.
      4. Klik Simpan.

    • Untuk mengubah setelan Server syslog, klik Edit, lalu perbarui setelan.

  6. Di kolom Remote syslog buffer, masukkan nilai default, seperti 1000.

  7. Di bagian Pemilihan log syslog jarak jauh, pilih log berikut yang harus dikirim ke server syslog jarak jauh:

    • Perlindungan ancaman tingkat lanjut
    • Daemon konfigurasi
    • Firewall
    • Intrusion prevention system
    • Login lokal
    • Subsistem logging
    • Pesan sistem
    • Daemon autentikasi pengguna
    • Pemfilteran web

  8. Klik Terapkan untuk menyimpan perubahan.

Mengonfigurasi penerus Google Security Operations untuk menyerap log Sophos UTM

  1. Buka Setelan SIEM > Pengirim.
  2. Klik Tambahkan penerusan baru.
  3. Di kolom Forwarder Name, masukkan nama unik untuk penerusan.
  4. Klik Kirim. Forwarder ditambahkan dan jendela Add collector configuration akan muncul.
  5. Di kolom Nama pengumpul, ketik nama.
  6. Pilih Sophos UTM sebagai Log type.
  7. Pilih Syslog sebagai Collector type.
  8. Konfigurasikan parameter input wajib berikut:
    • Protokol: tentukan protokol koneksi yang akan digunakan pengumpul untuk memproses data syslog.
    • Alamat: tentukan alamat IP atau nama host target tempat pengumpul berada dan memproses data syslog.
    • Port: tentukan port target tempat pengumpul berada dan memproses data syslog.
  9. Klik Kirim.

Untuk mengetahui informasi selengkapnya tentang penerusan Google Security Operations, lihat dokumentasi penerusan Google Security Operations.

Untuk mengetahui informasi tentang persyaratan untuk setiap jenis penerusan, lihat Konfigurasi penerusan menurut jenis.

Jika Anda mengalami masalah saat membuat penerusan, hubungi dukungan Operasi Keamanan Google.

Referensi pemetaan kolom

Parser Sophos UTM ini mengekstrak key-value pair dan kolom lainnya dari log firewall Sophos UTM, lalu mengonversinya ke format UDM. Fitur ini menangani berbagai jenis log, termasuk peristiwa firewall, peristiwa DHCP, dan peristiwa login/logout pengguna, memetakan kolom yang relevan ke kolom UDM yang sesuai dan memperkaya data dengan konteks tambahan.

Tabel Pemetaan UDM

Kolom Log Pemetaan UDM Logika
tindakan security_result.action Jika action adalah "pass" atau "accept", petakan ke "ALLOW". Jika action adalah "drop", petakan ke "BLOCK".
ad_domain target.administrative_domain Pemetaan langsung.
alamat target.ip, target.asset.ip Pemetaan langsung, digunakan saat id adalah "2203".
aplikasi target.application Pemetaan langsung.
app-id additional.fields[].key, additional.fields[].value.string_value Diganti namanya menjadi app_id. Jika tidak kosong, kunci akan ditetapkan ke "app-id" dan nilainya adalah app-id itu sendiri.
application principal.application Pemetaan langsung.
aptptime additional.fields[].key, additional.fields[].value.string_value Jika tidak kosong, kunci disetel ke "aptptime" dan nilainya adalah aptptime itu sendiri.
auth extensions.auth.auth_details Pemetaan langsung.
authtime additional.fields[].key, additional.fields[].value.string_value Jika tidak kosong dan bukan "0", kunci disetel ke "authtime" dan nilainya adalah authtime itu sendiri.
avscantime additional.fields[].key, additional.fields[].value.string_value Jika tidak kosong dan bukan "0", kunci disetel ke "avscantime" dan nilainya adalah avscantime itu sendiri.
category security_result.detection_fields[].key, security_result.detection_fields[].value Jika tidak kosong, kunci disetel ke "category" dan nilainya adalah category itu sendiri. Jika name berisi "portscan", security_result.category disetel ke "NETWORK_RECON" dan kolom deteksi dengan kunci "category" dan nilai "NETWORK_RECON" ditambahkan.
categoryname security_result.category_details Pemetaan langsung.
koneksi security_result.rule_name Pemetaan langsung, digunakan saat id adalah "2203".
data jenis konten (Lihat kolom lainnya) Kolom data berisi key-value pair yang diuraikan ke dalam kolom individual.
datetime metadata.event_timestamp Diuraikan dan dipetakan sebagai detik sejak epoch.
device additional.fields[].key, additional.fields[].value.string_value Jika tidak kosong dan bukan "0", kunci akan disetel ke "device" dan nilainya adalah device itu sendiri.
dnstime additional.fields[].key, additional.fields[].value.string_value Jika tidak kosong dan bukan "0", kunci disetel ke "dnstime" dan nilainya adalah dnstime itu sendiri.
dstip target.ip, target.asset.ip Pemetaan langsung. Juga diekstrak dari kolom url jika ada.
dstmac target.mac Pemetaan langsung.
dstport target.port Pemetaan langsung, dikonversi menjadi bilangan bulat.
peristiwa error security_result.summary Pemetaan langsung, digunakan saat id adalah "2201", "2202", atau "2203".
exceptions additional.fields[].key, additional.fields[].value.string_value Jika tidak kosong, kunci disetel ke "exceptions" dan nilainya adalah exceptions itu sendiri.
file about.file.full_path Pemetaan langsung.
filteraction security_result.rule_name Pemetaan langsung.
fullreqtime additional.fields[].key, additional.fields[].value.string_value Jika tidak kosong, kunci disetel ke "fullreqtime" dan nilainya adalah fullreqtime itu sendiri.
fwrule security_result.rule_id Pemetaan langsung.
grup target.group.group_display_name Pemetaan langsung.
id metadata.product_log_id Pemetaan langsung.
info security_result.description Pemetaan langsung. Jika ada, metadata.event_type ditetapkan ke "NETWORK_UNCATEGORIZED".
Antarmuka initf security_result.about.labels[].key, security_result.about.labels[].value Jika tidak kosong, label dengan kunci "Interface" dan nilai interface akan ditambahkan ke security_result.about.labels.
ip_address target.ip, target.asset.ip Pemetaan langsung.
pesan baris panjang security_result.summary Digunakan saat id adalah "0003". Juga digunakan untuk penguraian grok umum.
metode network.http.method Pemetaan langsung.
nama security_result.summary Pemetaan langsung.
outitf pid target.process.pid Pemetaan langsung.
port target.port Pemetaan langsung, dikonversi menjadi bilangan bulat.
profil prec security_result.rule_name Pemetaan langsung.
proto network.ip_protocol Dikonversi menjadi nama protokol IP menggunakan tabel lookup.
perujuk alasan network.http.referral_url Pemetaan langsung.
permintaan additional.fields[].key, additional.fields[].value.string_value Jika tidak kosong, kunci disetel ke "request" dan nilainya adalah request itu sendiri.
reputasi additional.fields[].key, additional.fields[].value.string_value Jika tidak kosong, kunci disetel ke "reputation" dan nilainya adalah reputation itu sendiri.
rx network.received_bytes Pemetaan langsung, digunakan saat id adalah "2202", dikonversi menjadi bilangan bulat tidak bertanda.
tingkat keparahan sandbox security_result.severity Jika severity adalah "info", petakan ke "RENDAH".
ukuran target.file.size Pemetaan langsung, dikonversi menjadi bilangan bulat yang tidak bertanda tangan.
srcip principal.ip, principal.asset.ip Pemetaan langsung.
srcmac principal.mac Pemetaan langsung.
srcport principal.port Pemetaan langsung, dikonversi menjadi bilangan bulat.
statuscode network.http.response_code Pemetaan langsung, dikonversi menjadi bilangan bulat.
sub network.application_protocol Jika sub adalah "http", metadata.event_type ditetapkan ke "NETWORK_HTTP" dan network.application_protocol ditetapkan ke "HTTP". Jika sub adalah "packetfilter", metadata.description ditetapkan ke sub. Jika tidak, dikonversi ke nama protokol aplikasi menggunakan tabel lookup. Jika tidak ada kecocokan yang ditemukan dalam tabel lookup, dstport akan digunakan untuk lookup.
sys metadata.product_event_type Pemetaan langsung.
tcpflags tos ttl tx network.sent_bytes Pemetaan langsung, digunakan saat id adalah "2202", dikonversi menjadi bilangan bulat tidak bertanda.
ua network.http.user_agent Pemetaan langsung.
url network.http.referral_url, target.hostname, target.asset.hostname Pemetaan langsung untuk network.http.referral_url. Mengekstrak nama host untuk target.hostname dan target.asset.hostname. Juga digunakan untuk mengekstrak dstip.
pengguna target.user.userid Pemetaan langsung.
nama pengguna target.user.userid Pemetaan langsung, digunakan saat id adalah "2201" atau "2202".
varian Tidak disertakan dalam UDM akhir, tetapi digunakan dalam deskripsi Digunakan bersama dengan sub untuk membuat security_result.description saat id adalah "2201", "2202", atau "2203".
virtual_ip target.ip, target.asset.ip Pemetaan langsung, digunakan saat id adalah "2201" atau "2202".
metadata.event_type metadata.event_type Diinisialisasi ke "GENERIC_EVENT". Ditetapkan ke nilai tertentu berdasarkan konten log dan logika parser.
metadata.log_type metadata.log_type Dikodekan secara permanen ke "SOPHOS_UTM".
metadata.product_name metadata.product_name Dikodekan secara permanen ke "SOPHOS UTM".
metadata.vendor_name metadata.vendor_name Dikodekan secara permanen ke "SOPHOS Ltd".
intermediary.hostname intermediary.hostname Diekstrak dari pesan log menggunakan grok dan diganti namanya.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.